|
阅读:3726回复:21
破除俄罗斯新型Rootkit隐藏驱动
三分钟破除俄罗斯新型Rootkit隐藏驱动
原帖地址http://www.retcvc.com/cgi-bin/topic.cgi?forum=1&topic=1723&show=0 前段时间听说有二个俄罗斯人写了个Rootkit的东东,具体内容见这个帖子(http://news.itdb.cn/n/200701/22/n20070122_86018.shtml),本来这东东并没有太多值得歌颂的地方,无非是一方面用NTFS流隐藏了自己的驱动文件,另一方面这个驱动过滤了些对特定扇区的访问,当然作者本身技术是不错的,至少这个作者能写文件系统过滤驱动,同时比较熟悉NTFS文件系统结构,虽然文件系统过滤驱动,和流隐藏并不是什么新鲜玩意(有兴趣的朋友可以看看偶去年安焦峰会的演讲PPT),但这两凑一块却还算新鲜,但只能是“算”而已,却无辜的成为了具有中国特色的的宣传道具。 不多说,看这个演示程序吧,运行起Rootkit演示程序后,DebugView收到信息外其他方面均没有体现(见图),这些原文都有说过,不废话了。 此主题相关图片如下: 按此查看图片详细信息正在读取此图片的详细信息,请稍候 ... 该程序会在C盘根目录下,建立一个流来隐藏自己的驱动,但做了FS过滤,即使winhex也找不到,这个流,见图。 此主题相关图片如下: 按此查看图片详细信息正在读取此图片的详细信息,请稍候 ... 上图是C盘根目录的MFT的截图,可以看出在30和90属性中间我们看不到任何流,和一个普通的根目录MFT没任何区别。 接下来就来破除这个驱动了 第一分钟: 下载一个叫Sector Editer的工具,该工具的磁盘操作是直接向设备发IRP实现磁盘读写的,因此可以绕过大部分过滤驱动,如果想了解实现细节欢迎和我一起讨论,另外该程序作者是位叫Julie的温柔MM。 用Sector Editer定位到C盘根目录MFT(定位过程略),根目录下Rootkit驱动的流信息暴露无疑(见图)。 此主题相关图片如下: 按此查看图片详细信息正在读取此图片的详细信息,请稍候 ... 第二分钟 根据流信息定位磁盘,找到其流在磁盘中的真实位置,因为过滤驱动只针对了根目录MFT所在的扇区,并没有拦截自己所在的扇区,因此直接可以用winhex找到该流隐藏的驱动,直接把这些数据改了就可以破坏掉其Rootkit驱动了。见图,这里我直接把文件头的“MZ”改成了“TY”。 此主题相关图片如下: 按此查看图片详细信息正在读取此图片的详细信息,请稍候 ... 第三分钟 其实第三分钟已经没啥好干的了,本来想叫二分钟xxxx的,但中国人都喜欢用“三”,比如三国里面就有好多“三”,首先他叫三国演义,然后是桃源三结义,接着又是三英战卢布(你说你刘备不能打去凑什么热闹),三让徐州,再然后有三顾茅庐…… 好像越来越走题了,没办法,谁叫咱是中国式的宣传呢,那么第三分钟就重新启动吧,重新启动后,DebugView收不到任何消息了,当然用winhex也可以直接找到这个流了(如果愿意,可以用DeleteFile删除这个流),AntiRootkit成功,此处省去N张图。 |
|
|
沙发#
发布于:2007-03-08 16:14
CVC又活了?
 |
|
|
板凳#
发布于:2007-03-08 16:18
引用第1楼doskey于2007-03-08 16:14发表的“”: 嘿啦 欢迎回家 |
|
|
地板#
发布于:2007-03-08 16:29
现在才出来,没想楼主才是抄作大师,不过一个7年安全开发的菜鸟我想看那篇英文介绍都不止3分钟
 |
|
|
|
地下室#
发布于:2007-03-08 16:58
引用第3楼WQXNETQIQI于2007-03-08 16:29发表的“”: 忍你很久了,你到底那根神经有问题啊? 不想和你在论坛吵架,实在丢不起这个人!没有看到你这位大师有多牛B之处,到手到处见到MMxx如是说,实在看不下去了! 你的理论是批评你的都是菜鸟,说你牛的都是牛人!你丫是不更年期啊!真是近墨黑,近朱赤,近流氓者就是流氓! 还有谁告诉你我做了7年啊?我从来不认识你个傻X! |
|
|
5楼#
发布于:2007-03-08 17:12
我说的是某个7年安全开发的菜鸟,说你了吗
|
|
|
|
6楼#
发布于:2007-03-08 17:12
test
|
|
|
7楼#
发布于:2007-03-08 17:13
哎哎呀呀,楼主的素质真差呀,,弄个ADS的这么麻烦又什么是SectionEditor还什么定位,太搞了,笑到肚子疼呀
 |
|
|
|
8楼#
发布于:2007-03-08 17:17
引用第3楼WQXNETQIQI于2007-03-08 16:29发表的“”: 经证实 WQXNETQIQI 安徽 1987-02-17出生 属于不知天高地厚型 请楼主不要和这种小人一般见识! |
|
|
9楼#
发布于:2007-03-08 17:17
引用第5楼WQXNETQIQI于2007-03-08 17:12发表的“”: 可你说了“楼主”,而我就是“楼主”,如果不是说我,我也不是说你好了,MMxx也不是你,我们井水不犯河水,实在惹不起 还有QQ里我有给你留言,放心没有骂人!更没说人菜鸟!不想和你在论坛吵,论坛资源本来就有限,不想浪费。 |
|
|
10楼#
发布于:2007-03-08 17:26
大家都心平气和点吧,再说菜鸟没什么不好,我就喜欢被人说是菜鸟,可以随便问点简单问题,也不怕被人嘲笑,多好啊 ,嘿嘿......
|
|
|
|
11楼#
发布于:2007-03-08 17:26
“想楼主才是抄作大师”
对楼主我就说了这么一句,却招来这么一大堆话,楼主可真是冲动呀,还马甲都上了(是不是楼主的俺不知道) PS:我这句话说的也是有根有据,前天才看到楼主在那个CB的帖子后面说抄作,现在就自己发了个所谓”三分钟”的东西,的确是有抄作之嫌呀,呵呵 流隐藏那个东西也是俄罗斯的家伙抄的,嘿嘿 至于后面的多少年的开发的什么来着的,不是说楼主,说的是谁我想谁心中明白 |
|
|
|
12楼#
发布于:2007-03-08 17:41
引用第10楼wowocock于2007-03-08 17:26发表的“”: wowocock说得是,论坛吵架我自己也觉得丢人啊,多少年来第一次,偶错了:),谁有权限啊,把这些不该说的帮偶删除了吧!先谢了 不想留个骂名。实在没忍住啊:)偶其实就是菜鸟~ 所以俺啥都敢问。。。。。 |
|
|
13楼#
发布于:2007-03-08 17:56
 庆祝cvc,顶一下,呵呵 |
|
|
|
14楼#
发布于:2007-03-08 20:35
风般是好人
MJ也是好人 doskey也是好人 ~~~~ MJ最近看汇编太多,火气上来了~ |
|
|
|
15楼#
发布于:2007-03-08 22:42
加一句,老v也是好人...
|
|
|
|
16楼#
发布于:2007-03-09 09:13
老v绝对是好人
|
|
|
|
17楼#
发布于:2007-03-09 09:15
引用第10楼wowocock于2007-03-08 17:26发表的“”: Support |
|
|
|
18楼#
发布于:2007-03-09 09:54
日哦,牛牛吵架,还真好看!
 |
|
|
|
19楼#
发布于:2007-03-09 10:53
来瞻仰一下各位老大!
楼主能否给个链接? (有兴趣的朋友可以看看偶去年安焦峰会的演讲PPT) |
|
|
上一页
下一页